EP0318097B1

EP0318097B1 - Systèmes de signature indéniable

Info

Publication number: EP0318097B1
Application number: EP88202620A
Authority: EP
Inventors: David Prof. Dr. Chaum
Original assignee: SECURITY Tech CORP
Current assignee: SECURITY Tech CORP
Priority date: 1987-11-23
Filing date: 1988-11-22
Publication date: 1998-03-18
Anticipated expiration: 2008-11-22
Also published as: DE3856149D1; ATE164278T1; US4947430A; EP0318097A1; DE3856149T2

Claims

Procédé de cryptographie pour former et vérifier des signatures indéniables basé sur l'émission d'une clé publique par une partie qui signe dans lequel les signatures sont qualifiées de "indéniables" parce qu'elles peuvent être vérifiées dans un protocole entre une partie qui vérifie (611) et la partie qui signe (601) dans lequel la partie qui signe est incapable de mener le protocole de manière non convenable de façon à "nier" la validité d'une signature valide sans qu'il y ait au moins une probabilité sensiblement élevée que la partie qui vérifie apprendra que la partie qui signe est en train de mener le protocole de manière non convenable, le procédé comprenant les étapes pour :

créer une clé publique (604) et une clé privée correspondante (604) par une partie qui signe et fournir la clé publique au moins à une partie qui vérifie ;

fournir un message non signé par une partie qui fournit (605) à ladite partie qui signe ;

former une signature indéniable (602) sur ledit message non signé reçu par ladite partie qui signe, au moins en réponse à ladite clé privée correspondant à ladite clé publique, et renvoyer le message signé de manière indéniable qui en résulte à ladite partie qui fournit ;

former au moins une interrogation (612) par une partie qui vérifie, en réponse à une clé d'interrogation 613 sensiblement inconnue au moins de manière temporaire de ladite partie qui signe et en réponse à au moins un élément de la paire comprenant ledit message signé de manière indéniable et ledit message non signé, et fournir ladite interrogation à ladite partie qui signe ;

transformer (603) au moins une dite interrogation reçue de la part ladite partie qui signe au moins de manière partielle en réponse à ladite clé privée et en renvoyant le résultant comme une réponse à ladite partie qui vérifie ; et

vérifier (617) au moins une dite réponse reçue par ladite partie qui vérifie en réponse à la fois à ladite clé d'interrogation et à au moins l'autre élément de ladite paire comprenant ledit message signé de manière indéniable et ledit message non signé, de manière à donner une certitude sensiblement élevée en distinguant entre les trois possibilités (a) que le message prétendu signé de manière indéniable est une signature indéniable valide correspondant à la fois à ladite clé publique et audit message non signé, (b) que le message prétendu signé de manière indéniable n'est pas une signature indéniable valide correspondant à la fois à ladite clé publique et audit message non signé, et (c) que la réponse de la part de la partie qui signe est une réponse non convenable.
Procédé de la revendication 1, dans lequel ladite étape de signature (103) inclut une élévation dudit message non signé ([11]) à une puissance ssecrète de signature (X) dérivée de ladite clé privée, une telle élévation à la puissance étant effectuée dans une structure finie dans laquelle elle est définie.
Procédé de la revendication 2, dans lequel :

au moins une partie de ladite interrogation ([21]) est formée en réponse au moins deux messages signés de manière indéniable ([12] , [10]) en les élevant à des puissances (a, b) dérivées de ladite clé d'interrogation ;

au moins une partie de ladite réponse ([22]) est formée en élevant au moins une partie de ladite interrogation à une puissance (1/X) agissant comme un inverse de ladite puissance secrète de signature; et

ladite vérification (203) est effectuée au moins en partie en élevant les au moins deux messages non signés (m, g) correspondant auxdits au moins ceux messages signés de manière indéniable à des puissances (a, b) dérivées de ladite clé d'interrogation.
Procédé de la revendication 2, dans lequel :

au moins une partie de ladite interrogation ([31]) est formée en réponse à au moins deux messages non signés (m, g) en les élevant à des puissances (a, b) dérivées de ladite clé d'interrogation ;

au moins une partie de ladite réponse ([32]) est formée en élevant au moins une partie de ladite interrogation à ladite puissance secrète de signature (X), et

ladite vérification (305) est effectuée au moins en partie en élevant les au moins deux messages signés de manière indéniable ([12], [10]) correspondant auxdits au moins deux messages non signés à des puissances (a, b) dérivées de ladite clé d'interrogation secrète.
Procédé comme dans la revendication 1, comprenant en outre les étapes pour :

occulter (606) ledit message non signé en réponse à une clé d'occultation (607) avant de fournir le message non signé occulté résultant à la dite partie qui signe (601) à la place du dudit message non signé ; et

ôter l'occulation (608) dudit message signé de manière indéniable renvoyé par ladite partie qui signe en réponse à la clé d'occultation (607).
Procédé comme dans la revendication 1, comprenant en outre les étapes pour :

occulter (609) en réponse à une clé d'occultation (610) ledit message signé de manière indéniable et également ledit message non signé correspondant ; et

utiliser lesdits message occulté signé de manière indéniable et message occulté non signé à la place desdits message signé de manière indéniable et message non signé, respectivement, par ladite partie qui vérifie (611) en formant ladite interrogation (612) et en vérifiant ladite réponse.
Procédé comme dans la revendication 1, comprenant en outre les étapes pour :

occulter (614) en réponse à une clé d'occultation (615) au moins une partie de l'une de ladite interrogation et de ladite réponse ; et

ôter l'occultation (616) en réponse à ladite clé d'occultation (615) au moins une partie de l'autre de ladite interrogation et de ladite réponse.
Procédé des revendications 5, 6 ou 7, dans lequel :

ladite étape de signature (402) inclut une élévation dudit message non signé ([41]) à une puissance secrète de signature (Y) dérivée de ladite clé privée, une telle élévation à la puissance étant effectuée dans une structure finie dans laquelle elle est définie ;

ladite étape pour occulter (401) inclut l'opération d'élévation du message (u) à occulter à une puissance (r) dérivée de ladite clé d'occultation ; et

ladite étape pour ôter l'occultation (403) inclut une élévation du message dont on doit ôter l'occultation à une puissance (1/r) qui agit comme une opération inverse de celle de ladite opération d'occultation.
Procédé des revendications 5, 6 ou 7 dans lequel :

ladite étape pour signer (502) inclut une élévation dudit message non signé ([51]) à une puissance secrète de signature (Y) dérivée de ladite clé privée, une telle élévation à la puissance étant effectuée dans une structure finie où telle est définie ;

ladite étape pour occulter (501) inclut la formation d'un produit de au moins un premier message (g) qui est élevé à une puissance d'occultation (r) dérivée de ladite clé d'occultation et de au moins un deuxième message (m) à occulter ; et

ladite étape pour ôter l'occultation (503) inclut la formation d'un produit ([53]) de l'inverse multiplicatif de la forme signée de manière indéniable dudit premier message élévé à la puissance d'occultation par ledit deuxième message.
Procédé des revendications 1, 2, 3 ou 4, incluant les étapes pour :

émettre une signature numérique à clé publique par ladite partie qui signe en réponse à au moins une dite interrogation et une dite réponse ; et

vérifier ladite signature numérique à clé publique.
Dispositif pour former et vérifier des signatures indéniables basé sur l'émission d'une clé publique par une partie qui signe dans lequel les signatures sont qualifiées de "indéniables" parce qu'elles peuvent être vérifiées par un moyen pour former et transférer des messages entre une partie qui vérifie (611) et une partie qui signe (601) dans lequel la partie qui signe est incapable de mener les transferts de manière non convenable de manière à "nier" la validité d'une signature valide sans qu'il y ait au moins une probabilité sensiblement élevée que la partie qui vérifie détectera que la partie qui signe est en train de mener le protocole de manière non convenable, le dispositif comprenant :

un moyen pour créer une clé publique (604) et une clé privée correspondante (604) par une partie qui signe et pour fournir la clé publique à au moins une partie qui vérifie ;

un moyen pour fournir un message non signé par une partie qui fournit (605) à ladite partie qui signe ;

un moyen pour former une signature indéniable (602) sur ledit message non signé reçu par ladite partie qui signe, au moins en réponse à ladite clé privé correspondant à ladite clé publique, et pour renvoyer le message signé de manière indéniable résultant à ladite partie qui fournit ;

un moyen pour forme au moins une interrogation (612), par une partie qui vérifie, en réponse à une clé d'interrogation (613) sensiblement inconnue au moins d'une manière temporaire de ladite partie qui signe et en réponse à au moins un élément de la paire conprenant ledit message signé de manière indéniable et ledit message non signé, et pour fournir ladite interrogation à ladite partie qui signe ;

un moyen pour transformer (603) au moins une dite interrogation reçue par ladite partie qui signe au moins de manière partielle en réponse à ladite clé privée et pour renvoyer le résultat comme une réponse à ladite partie qui signe ; et

un moyen pour vérifier (617) au moins une dite réponse reçue par ladite partie qui vérifie en réponse à la fois à ladite clé d'interrogation, et à au moins l'autre élément de ladite paire comprenant ledit message signé de manière indéniable et ledit message non signé, de manière à donner une certitude sensiblement élevée dans la distinction entre les trois possibilités (a) que le message prétendu signé de manière indéniable est une signature valide indéniable correspondant à la fois à ladite clé publique et audit message non signé, (b) que le message prétendu signé de manière indéniable n'est pas une signature indéniable valide correspondant à la fois à ladite clé publique et audit message non signé, et (c) que la réponse fournie par la partie qui signe est une réponse non convenable.
Dispositif comme dans la revendication 11, dans lequel ledit moyen pour signer inclut un moyen pour éléver ledit message non signé ([11]) à une puissance secrète de signature (X) dérivée de ladite clé privée, une telle élévation à la puissance étant effectuée dans une structure finie dans laquelle elle est définie.
Dispositif comme dans la revendication 12, dans lequel :

au moins une partie de ladite interrogation ([21]) est formée en réponse à au moins deux messages ([11], [10]) signés de manière indéniable par un moyen pour les élever à des puissances (a, b) dérivées de ladite clé d'interrogation ;

au moins une partie de ladite réponse ([22]) est formée par un moyen pour élever au moins une partie de ladite interrogation à une puissance (1/X) agissant comme un inverse de ladite puissance secrète de signature, et

ladite vérification (203) est effectuée au moins en partie par un moyen pour élever les au moins deux messages non signés (m, g) correspondant auxdits au moins deux messages signés de manière indéniable à des puissances (a, b) dérivées de ladite clé d'interrogation.
Dispositif comme dans la revendication 12, dans lequel :

au moins une partie de ladite interrogation ([31]) est formée en réponse à au moins deux messages non signés (m, g) par un moyen pour les élever à des puissances (a, b) dérivées de ladite clé d'interrogation ;

au moins une partie de ladite réponse ([32]) est formée par un moyen pour élever au moins une partie de ladite interrogation à ladite puissance secrète de signature (X) ; et

ledit moyen pour vérifier (305) inclut au moins un moyen pour élever les au moins deux messages signés de manière indéniable ([12], [10]) correspondant auxdits au moins deux messages non signés à des puissances (a, b) dérivées de ladite clé secrète d'interrogation.
Dispositif comme dans la revendication 1, comprenant en outre :

un moyen pour occulter (606) ledit message non signé en réponse à une clé d'occultation (607) avant que le message non signé occulté résuluant ne soit fourni à ladite partie qui signe (601) à la place dudit message non signé ; et

un moyen pour ôter l'occultation (608) dudit message signé de manière indéniable renvoyé par ladite partie qui signe en réponse à ladite clé d'occultation (607).
Dispositif comme dans la revendication 11, comprenant en outre :

un moyen pour occulter (609) en réponse à une clé d'occultation (610) ledit message signé de manière indéniable et également pour occulter ledit message non signé correspondant ; et

un moyen pour utiliser lesdits message occulté signé de manière indéniable et message occulté non signé à la place desdits message signé de manière indéniable et message non signé, respectivement, par ladite partie qui signe (611) dans ledit moyen pour former ladite interrogation (612) et pour vérifier ladite réponse.
Dispositif comme dans la revendication 11, comprenant en outre :

un moyen d'occultation (614), en réponse à une clé d'occultation (615), au moins une partie de l'une de ladite interrogation et de ladite réponse ; et

un moyen pour ôter l'occultation (616), en réponse à ladite clé d'occultation (615), au moins une partie de l'autre de ladite interrogation et de ladite réponse.
Dispositif comme dans les revendications 15, 16 ou 17, dans lequel :

ledit moyen pour signer (402) inclus un moyen pour élever ledit message non signé ([41]) à une puissance secrète de signature (Y) dérivée de ladite clé privée, une telle élévation à la puissance étant effectuée dans une structure finie où elle est définie ;

ledit moyen d'occultation (401) comprend un moyen pour élever le message (u) à occulter à une puissance (r) dérivée de ladite clé d'occultation ; et

ledit moyen pour ôter l'occultation (403) inclut un moyen pour élever le message dont on doit ôter l'occultation à une puissance (1/r) qui agit comme une opération inverse de celle de ladite opération d'occultation.
Dispositif comme dans les revendications 15, 16 ou 17, dans lequel :

ledit moyen pour signer (502) inclut un moyen pour élever ledit message ([51]) non signé à une puissance secrète de signature (Y) dérivée de ladite clé privée, une telle élévation à la puissance étant effectuée dans une structure finie où elle est définie ;

ledit moyen d'occultation (501) inclut un moyen pour former un produit de au moins un premier message (g) élevé à une puissance d'occultation (r) qui est dérivée de ladite clé d'occultation et de au moins un deuxième message (m) à occulter ; et

ledit moyen pour ôter l'occultation (503) inclut un moyen pour former un produit ([53]) de l'inverse multiplicatif de la forme signée de manière indéniable du premier message élevé à la puissance d'occultation et dudit deuxième message.
Dispositif comme dans les revendications 11, 12, 13 ou 14 incluant :

un moyen pour émettre une signature numérique à clé publique par ladite partie qui signe en réponse à au moins une dite interrogation et une dite réponse ; et

un moyen pour vérifier ladite signature numérique à clé publique.